# DS0002 — User Account ## Descrição Contas de usuário representam perfis que identificam e autenticam usuários, dispositivos, serviços ou aplicações para acesso a recursos de TI. Uma conta pode ser local (criada no próprio host), de domínio (gerenciada centralmente via Active Directory ou LDAP), de nuvem (Azure AD, AWS IAM, Google Workspace) ou de serviço (usada por aplicações e processos automatizados). Esta fonte de dados abrange todo o ciclo de vida dessas contas: criação, modificação, autenticação, bloqueio, exclusão e tentativas de acesso. A importância desta fonte para detecção é central: práticamente todas as táticas do framework MITRE ATT&CK envolvem alguma forma de abuso de conta de usuário. Desde o movimento lateral até a escalada de privilégios e a persistência, adversários dependem de contas legítimas para minimizar alertas e se confundir com atividade normal. Monitorar eventos de conta fornece visibilidade sobre tentativas de autenticação anômalas, criação de backdoors de acesso persistente, e uso de credenciais comprometidas. No contexto brasileiro, o abuso de contas é um dos vetores mais comuns documentados em incidentes. Ataques de credential stuffing e phishing voltados a contas corporativas são rotineiros, especialmente contra o setor financeiro e governo. A integração entre fontes de identidade on-premises (Active Directory) e cloud (Entra ID/Azure AD) cria lacunas de visibilidade que adversários exploram ativamente. ## Visão Geral **Principais gaps identificados:** 1. **Ausência de MDI (Microsoft Defender for Identity):** Pouquíssimas organizações brasileiras têm MDI implantado. Sem ele, ataques Kerberoasting, Pass-the-Hash e DCSync passam sem detecção mesmo com logs de Security habilitados. 2. **Event IDs de segurança não coletados:** Muitos SOCs brasileiros coletam apenas eventos de aplicação e sistema, ignorando o log de Security do Windows — que concentra os eventos de conta mais valiosos. 3. **SaaS sem SIEM:** Ambientes de Microsoft 365 e Google Workspace raramente têm seus logs de auditoria integrados ao SIEM, criando ponto cego para ataques BEC (Business Email Compromise) — vetor extremamente comum no Brasil. 4. **Contas de serviço sem monitoramento:** Contas de serviço (service accounts) frequentemente possuem senhas que nunca expiram e permissões excessivas. No Brasil, é comum que essas contas sejam usadas interativamente por administradores, impossibilitando distinguir uso legítimo de abuso. 5. **Recomendações para contexto LATAM:** - Habilitar coleta do log Security do Windows como prioridade absoluta via WEF ou agente SIEM - Integrar logs do Azure AD/Entra ID ao SIEM para visibilidade híbrida - Implementar alertas de criação de conta fora do horário comercial (horário de Brasília) - Criar baseline de comportamento de autenticação para detecção de anomalias ## Pipeline de Coleta ```mermaid graph TB A["🏢 Active Directory<br/>Contas locais e de domínio"] --> C["📋 Windows Security Log<br/>EID 4720·4726·4728·4740"] B["☁️ Azure AD / Entra ID<br/>SaaS · IAM · OAuth"] --> D["🔍 SignInLogs / AuditLogs<br/>Unified Audit Log (M365)"] C --> E["📡 WEF / Agente SIEM<br/>Coleta centralizada"] D --> E E --> F["🗄️ SIEM<br/>Sentinel · Splunk · QRadar"] F --> G["🚨 Alerta<br/>Nova conta · Falha em massa<br/>Impossible Travel"] ``` ## Componentes de Dados | Componente | ID | Descrição | |---|---|---| | User Account Authentication | [[dc0002-user-account-authentication\|DC0002]] | Eventos de autenticação — login, MFA, SSO, falhas de autenticação | | User Account Deletion | [[dc0009-user-account-deletion\|DC0009]] | Exclusão de contas de usuário, grupos ou entidades de serviço | ## Como Coletar ### Windows — Active Directory e Endpoints **Event IDs críticos para monitoramento de contas:** | Event ID | Log | Descrição | Prioridade | |---|---|---|---| | 4720 | Security | Conta de usuário criada | Alta | | 4722 | Security | Conta de usuário habilitada | Média | | 4723 | Security | Tentativa de alteração de senha | Alta | | 4724 | Security | Tentativa de reset de senha | Alta | | 4725 | Security | Conta de usuário desabilitada | Média | | 4726 | Security | Conta de usuário excluída | Alta | | 4728 | Security | Membro adicionado a grupo global de segurança | Alta | | 4732 | Security | Membro adicionado a grupo local de segurança | Alta | | 4740 | Security | Conta de usuário bloqueada | Alta | | 4756 | Security | Membro adicionado a grupo universal de segurança | Alta | | 4767 | Security | Conta de usuário desbloqueada | Média | | 4781 | Security | Nome de conta de usuário alterado | Alta | | 4798 | Security | Enumeração de grupos locais de usuário | Alta | | 4964 | Security | Grupos especiais atribuídos a novo logon | Alta | **Ferramentas de coleta:** - **Windows Event Forwarding (WEF):** Coleta centralizada de eventos sem agente; configurar via GPO para encaminhar eventos de segurança críticos ao SIEM. - **Sysmon (Event ID 16, config events):** Complementa a coleta de eventos de conta com contexto adicional de processo. - **Microsoft Defender for Identity (MDI):** Detecta movimentos laterais via Kerberos, NTLM e LDAP; essencial para ambientes AD. ### Linux — Auditd e PAM ```bash # Regras auditd para monitoramento de contas -w /etc/passwd -p wa -k user_account_modify -w /etc/shadow -p wa -k shadow_modify -w /etc/group -p wa -k group_modify -w /etc/sudoers -p wa -k sudoers_modify -w /etc/sudoers.d/ -p wa -k sudoers_d_modify -a always,exit -F arch=b64 -S useradd,userdel,usermod -k user_mgmt -a always,exit -F arch=b64 -S groupadd,groupdel,groupmod -k group_mgmt ``` **Logs PAM relevantes:** - `/var/log/auth.log` (Debian/Ubuntu) ou `/var/log/secure` (RHEL/CentOS) - Parsear eventos `pam_unix`, `sshd`, `sudo` para autenticações e escaladas ### SaaS / Identity Provider — Azure AD / Entra ID **Microsoft Sentinel — Tabelas de interesse:** ```kusto // Criação de novas contas - detecção de backdoors AuditLogs | where OperationName == "Add user" | where InitiatedBy.user.userPrincipalName !contains "provisioning" | project TimeGenerated, TargetResources, InitiatedBy, Result ``` **AWS IAM — CloudTrail:** - Eventos: `CreateUser`, `CreateAccessKey`, `AttachUserPolicy`, `AddUserToGroup` - Focar em `CreateAccessKey` para contas que não deveriam ter acesso programático ### SIEM — Integração | SIEM | Fonte de Dados | Query de Interesse | |---|---|---| | **Microsoft Sentinel** | `SignInLogs`, `AuditLogs`, `SecurityEvent` | Impossible travel, mass failed logins, new admin accounts | | **Splunk** | `index=wineventlog EventCode=4720 OR 4728 OR 4740` | Criação e modificação de contas privilegiadas | | **Elastic** | Auditbeat `system.auth` + Winlogbeat Security | Correlação de autenticações em múltiplos hosts | | **IBM QRadar** | Windows Security DSM + Azure AD DSM | Detecção de anomalias de autenticação via ML | ## Técnicas Detectadas | Técnica | Descrição | |---|---| | [[t1078-valid-accounts\|T1078 — Valid Accounts]] | Uso de credenciais legítimas comprometidas para acesso inicial ou persistência | | [[t1136-create-account\|T1136 — Create Account]] | Criação de contas backdoor locais, de domínio ou cloud para persistência | | [[t1098-account-manipulation\|T1098 — Account Manipulation]] | Modificação de atributos de conta para manter acesso ou elevar privilégios | | [[t1110-brute-force\|T1110 — Brute Force]] | Ataques de força bruta, password spraying e credential stuffing | | [[t1087-account-discovery\|T1087 — Account Discovery]] | Enumeração de contas para reconhecimento interno pós-acesso inicial | ## Gaps de Cobertura Brasil/LATAM **Lacunas mais comuns em organizações brasileiras:** > [!warning] Gap Crítico — Hybrid Identity sem Visibilidade Unificada > A maioria das organizações brasileiras opera em ambientes híbridos (AD on-prem + Azure AD/Entra ID) sem correlação de eventos de identidade entre os dois ambientes. Um atacante que compromete uma conta on-prem e sincroniza o comprometimento para a nuvem raramente é detectado sem visibilidade correlacionada. ## Referências - [[_auth\|Data Components — Autenticação]] — DC0002, DC0009 - [[m1032-multi-factor-authentication\|M1032 — Multi-Factor Authentication]] — controle preventivo primário - [[m1036-account-use-policies\|M1036 — Account Use Policies]] — políticas de uso de conta - [[m1026-privileged-account-management\|M1026 — Privileged Account Management]] — gestão de contas privilegiadas - [[t1078-valid-accounts\|T1078 — Valid Accounts]] — técnica central coberta por esta fonte - [[t1136-create-account\|T1136 — Create Account]] — criação de backdoors de conta --- *Fonte: [MITRE ATT&CK — DS0002](https://attack.mitre.org/datasources/DS0002)*